Datenschutz HubEinzelthemenRechtsgrundlagen der Verarbeitung

Vertrag und vorvertragliche Maßnahmen (Art. 6 Abs. 1 lit. b DSGVO)

Vertragliche Erlaubnisgrundlage nach Art. 6 Abs. 1 lit. b DSGVO: Anwendungsbereich, unionsrechtlicher Begriff der Erforderlichkeit, Abgrenzung zu Einwilligung und Nutzungsbedingungen, Kündigungsfolgen und typische Fallgruppen insbesondere bei Online-Diensten.

Nach Art. 6 Abs. 1 lit. b DSGVO ist die Verarbeitung personenbezogener Daten rechtmäßig, wenn sie für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist, die auf Anfrage der betroffenen Person erfolgen. Die Vorschrift trägt dem Grundgedanken Rechnung, dass die Teilnahme am Vertragsverkehr regelmäßig auch eine Datenverarbeitung voraussetzt.

Das Wichtigste in Kürze

  • Art. 6 Abs. 1 lit. b DSGVO trägt jede Verarbeitung, die für die Vertragserfüllung oder eine vorvertragliche Maßnahme auf Anfrage der betroffenen Person erforderlich ist; eine zusätzliche Einwilligung ist dann nicht nötig.
  • Voraussetzung sind kumulativ ein wirksamer Vertrag (oder eine vorvertragliche Anfrage), die betroffene Person als Vertragspartei und die objektive Erforderlichkeit der konkreten Verarbeitung.
  • Die Erforderlichkeit ist ein unionsrechtlicher Begriff: Die Verarbeitung muss objektiv unerlässlich, nicht nur nützlich sein (EuGH, Urt. v. 04.07.2023, C-252/21, Meta Platforms/Bundeskartellamt).
  • Daten Dritter, besondere Kategorien (Art. 9 DSGVO) und ein Wechsel der Rechtsgrundlage nach Vertragsende werden von lit. b nicht getragen.
  • Dienstverbesserung, Betrugsprävention, verhaltensbasierte Werbung und reine Personalisierung lassen sich im Online-Kontext regelmäßig nicht auf lit. b stützen.

1 Überblick

1.1 Rechtsfolge und Anwendungsbereich

Liegen die Voraussetzungen des lit. b vor, legitimiert die Vorschrift jede Verarbeitung, die für die Vertragserfüllung oder die vorvertraglichen Maßnahmen erforderlich ist. Eine zusätzliche Einwilligung oder Interessenabwägung ist nicht erforderlich. Die Rechtsgrundlage erfasst sowohl Verträge zwischen Privaten als auch öffentlich-rechtliche Vertragsverhältnisse mit der betroffenen Person.

1.2 Voraussetzungen im Überblick

Die Rechtsgrundlage verlangt kumulativ:

  • einen wirksamen zivil- oder öffentlich-rechtlichen Vertrag (oder eine vorvertragliche Anfrage),
  • dass die betroffene Person selbst Vertragspartei ist,
  • die objektive Erforderlichkeit der konkreten Verarbeitung für die Vertragserfüllung (oder die vorvertragliche Maßnahme).

1.3 Abgrenzung zu Einwilligung und Nutzungsbedingungen

Das Akzeptieren von Nutzungsbedingungen im Rahmen eines Vertrags ist keine Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO. Beide Rechtsgrundlagen haben unterschiedliche Voraussetzungen und Rechtsfolgen, insbesondere hinsichtlich Freiwilligkeit, Widerrufbarkeit und Transparenz (EDSA, Leitlinien 2/2019, Rn. 20). Der Verantwortliche muss von Anfang an klar kommunizieren, auf welche Rechtsgrundlage er sich stützt, und diese in den Informationen nach Art. 13, 14 DSGVO angeben. Ist eine Verarbeitung tatsächlich für die Vertragserfüllung erforderlich, ist die Einwilligung umgekehrt nicht die geeignete Rechtsgrundlage; eine scheinbar parallele Einwilligungsabfrage führt dann zu Verwirrung über die Rechtsgrundlage und genügt nicht dem Transparenzgebot.

1.4 Keine Grundlage für besondere Kategorien (Art. 9 DSGVO)

Art. 9 Abs. 2 DSGVO kennt keine Ausnahme für die „Erfüllung eines Vertrags". Verarbeitet der Verantwortliche besondere Kategorien personenbezogener Daten (Art. 9 Abs. 1 DSGVO), reicht lit. b für sich genommen nicht aus; erforderlich ist zusätzlich ein Zulässigkeitstatbestand nach Art. 9 Abs. 2 lit. b-j DSGVO oder eine ausdrückliche Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO (EDSA, Leitlinien 2/2019, Rn. 21).

1.5 Einbettung in die Grundsätze nach Art. 5 DSGVO

Die Rechtsgrundlage befreit nicht von den Grundsätzen des Art. 5 DSGVO. Insbesondere sind Fairness (Art. 5 Abs. 1 lit. a DSGVO), Zweckbindung (Art. 5 Abs. 1 lit. b DSGVO) und Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) bei der Auslegung des lit. b mitzudenken. Der Fairness-Grundsatz verlangt die Berücksichtigung der vernünftigen Erwartungen der betroffenen Person, nachteiliger Folgen der Verarbeitung sowie eines möglichen Machtungleichgewichts zwischen den Parteien. Zwecke müssen hinreichend präzise festgelegt werden; unbestimmte Formulierungen wie „Verbesserung der Nutzererfahrung", „Marketingzwecke", „IT-Sicherheitszwecke" oder „künftige Forschung" genügen dafür nicht (EDSA, Leitlinien 2/2019, Rn. 16).

2 Vertrag als Anknüpfungspunkt

2.1 Wirksamer Vertrag als Grundlage

Anknüpfungspunkt ist ein nach dem einschlägigen Vertragsrecht wirksamer Vertrag zwischen Verantwortlichem und betroffener Person. Die Wirksamkeit richtet sich nach dem nationalen Vertragsrecht, einschließlich der Regeln zur Geschäftsfähigkeit Minderjähriger und zu missbräuchlichen Klauseln in Verbraucherverträgen (§§ 305 ff. BGB, umgesetzt aus der Richtlinie 93/13/EWG). Die Vorschrift ist nicht auf Verträge beschränkt, die dem Recht eines EWR-Mitgliedstaats unterliegen.

2.2 Zivilrechtliche Verträge

Erfasst sind alle wirksamen Schuldverhältnisse zwischen dem Verantwortlichen und der betroffenen Person. Der Vertragstyp ist irrelevant: Kaufverträge, Dienstverträge, Werkverträge, Darlehensverträge, Mietverträge, Versicherungsverträge, Arbeitsverträge, Behandlungsverträge und Online-Nutzungsverträge werden gleichermaßen erfasst.

2.3 Vertragsähnliche Schuldverhältnisse

Auch vertragsähnliche Schuldverhältnisse können von lit. b erfasst sein, wenn sie vergleichbare Bindungen erzeugen. Das betrifft insbesondere Geschäftsführungen ohne Auftrag, bei denen ein ausdrücklich geschlossener Vertrag fehlt, aber ein gesetzliches Schuldverhältnis besteht, das vergleichbare Pflichten begründet.

2.4 Tarifverträge und Betriebsvereinbarungen

Tarifverträge und Betriebsvereinbarungen sind strittig. Sie binden den einzelnen Beschäftigten, ohne dass dieser Vertragspartei im engeren Sinne wäre. Teilweise werden sie als „Vertrag" im Sinne des lit. b anerkannt, überwiegend aber nur dann, wenn sich die konkrete Verarbeitung als notwendige Umsetzung einer konkreten tarif- oder betriebsvereinbarungsgestützten Verpflichtung darstellt. Im Übrigen bleibt der Rückgriff auf Art. 88 DSGVO iVm § 26 BDSG oder auf lit. c/f.

2.5 Nichtige Verträge

Ist ein Vertrag nichtig, scheidet lit. b als Rechtsgrundlage grundsätzlich aus. Für bereits durchgeführte Verarbeitungen kommen allerdings lit. c (gesetzliche Rückabwicklungspflichten) oder lit. f (berechtigtes Interesse an der Rückabwicklung) als Grundlage in Betracht.

2.6 Daten Dritter

Art. 6 Abs. 1 lit. b DSGVO trägt nur die Verarbeitung von Daten der Vertragsparteien. Werden Daten Dritter verarbeitet, etwa Angehörige eines Versicherungsnehmers, Gläubiger des Schuldners oder Angehörige einer Patientin, bedarf es einer eigenständigen Rechtsgrundlage; regelmäßig kommt nur lit. f in Betracht.

3 Vorvertragliche Maßnahmen

3.1 Anfrage der betroffenen Person als Tatbestandsvoraussetzung

Der zweite Fall des lit. b erfasst Verarbeitungen zur Durchführung vorvertraglicher Maßnahmen. Voraussetzung ist, dass die Maßnahme „auf Anfrage der betroffenen Person" erfolgt. Initiativbewerbungen des Verantwortlichen an die betroffene Person sind nicht erfasst. Ob später tatsächlich ein Vertrag zustande kommt, ist unerheblich; maßgeblich ist, dass die Anfrage im Zusammenhang mit einem möglichen Vertragsabschluss steht (EDSA, Leitlinien 2/2019, Rn. 46).

3.2 Typische Konstellationen

Erfasst sind beispielsweise die Prüfung einer Kreditwürdigkeit im Vorfeld eines Darlehensvertrags auf Antrag des potenziellen Kreditnehmers, die Einholung eines Angebots für einen Versicherungsvertrag oder die Bewerbung der betroffenen Person um eine Stelle. Auch einfache Verfügbarkeitsabfragen, etwa die Eingabe einer Postleitzahl, um zu prüfen, ob ein Dienst in einer Region angeboten wird, fallen darunter (EDSA, Leitlinien 2/2019, Beispiel 5). Gemeinsames Merkmal ist, dass die betroffene Person selbst die Initiative ergreift und damit ein schutzwürdiges Interesse an einer zügigen Bearbeitung hat.

3.3 Abgrenzung zu werblichen Maßnahmen

Werbung für die Anbahnung neuer Vertragsverhältnisse ist keine vorvertragliche Maßnahme im Sinne des lit. b. Sie kann allenfalls über lit. f oder eine Einwilligung nach lit. a gerechtfertigt werden.

3.4 Abgrenzung zu gesetzlichen Pflichten

Wird die Datenverarbeitung nicht durch die Anfrage der betroffenen Person, sondern durch eine gesetzliche Verpflichtung des Verantwortlichen ausgelöst, ist lit. c die geeignete Rechtsgrundlage und nicht lit. b. Klassischer Fall ist die geldwäscherechtliche Identitätsprüfung durch Banken vor Abschluss eines Kontovertrags (EDSA, Leitlinien 2/2019, Beispiel 6).

4 Kriterium der Erforderlichkeit

4.1 Unionsrechtlicher Begriff

„Erforderlich" ist ein eigenständiger unionsrechtlicher Begriff. Er geht nicht in der Frage auf, was der Vertrag formal erlaubt oder ausdrücklich vorsieht, sondern verlangt eine faktengestützte Bewertung, ob die konkrete Verarbeitung gemessen am verfolgten Zweck erforderlich und gegenüber weniger eingreifenden Alternativen vorzuziehen ist. Verarbeitungen, die für die Hauptleistung lediglich nützlich sind oder ausschließlich anderen Geschäftszwecken des Verantwortlichen dienen, erfüllen das Kriterium nicht.

4.2 „Objektiv unerlässlich", nicht nur „nützlich"

Der EuGH verlangt, dass die Verarbeitung „objektiv unerlässlich" für die Vertragserfüllung ist. Eine Verarbeitung, die den Dienst lediglich verbessert oder personalisiert, erfüllt dieses Kriterium nicht (EuGH, Urt. v. 04.07.2023, C-252/21, Meta Platforms/Bundeskartellamt, Rn. 98 ff.). Maßstab ist die vertragscharakteristische Leistung: Erlaubt sind nur Verarbeitungen, die unmittelbar mit der geschuldeten Hauptleistung oder einer notwendigen Nebenleistung verknüpft sind. Der Bundesgerichtshof hat im kartellrechtlichen Facebook-Verfahren betont, dass die vertragscharakteristische Leistung eng zu fassen ist, um die betroffene Person vor einer willkürlichen Ausweitung des Vertragsinhalts zu schützen (BGH, Beschl. v. 23.06.2020, KVR 69/19, Rn. 110 f.). Die Vertragsgestaltung darf das Kriterium nicht nach Belieben ausweiten. Eine bloße Bezugnahme im Kleingedruckten macht die Verarbeitung nicht erforderlich.

4.3 Prüfungsschritte

Praktisch lässt sich die Erforderlichkeit an vier Fragen entlang prüfen (EDSA, Leitlinien 2/2019, Rn. 33):

Art der Dienstleistung: welche Leistung wird der betroffenen Person erbracht und was sind ihre charakteristischen Merkmale?
Grundgedanke des Vertrags: was ist Zielsetzung und Gegenstand, worauf haben sich die Parteien erkennbar geeinigt?
Wesentliche Elemente: welche Verarbeitungen gehören zum Kern der Leistung, welche nicht?
Erwartungshorizont: würde ein durchschnittlicher Nutzer des Dienstes in Kenntnis der Bewerbung und des Leistungsinhalts vernünftigerweise erwarten, dass die geplante Verarbeitung zur Vertragserfüllung erfolgt?

Ergibt die Prüfung, dass die geplante Verarbeitung über das objektiv Erforderliche hinausgeht, bedeutet das nicht automatisch Rechtswidrigkeit; der Verantwortliche muss dann aber auf eine andere Rechtsgrundlage (insbesondere lit. a oder lit. f) umstellen und seine Transparenzpflichten entsprechend anpassen.

4.4 Perspektive beider Seiten

Die Erforderlichkeit ist nicht nur aus Sicht des Verantwortlichen zu beurteilen. Maßgeblich ist, ob der vertragliche Hauptzweck ohne die fragliche Verarbeitung aus Sicht einer durchschnittlich verständigen betroffenen Person noch sinnvoll erfüllbar wäre. Das verlangt ein echtes gegenseitiges Verständnis über den Vertragszweck; eine ausschließlich intern dokumentierte Zielsetzung des Anbieters reicht dafür nicht.

4.5 Bündelung mehrerer Dienste

Umfasst ein Vertrag mehrere Dienstleistungen oder mehrere eigenständige Elemente einer Dienstleistung, die unabhängig voneinander erbracht werden können, sind die Voraussetzungen des lit. b, insbesondere die Erforderlichkeit, für jede einzelne Dienstleistung gesondert zu beurteilen (EuGH, Urt. v. 04.07.2023, C-252/21, Meta Platforms/Bundeskartellamt, Rn. 94; EDSA, Leitlinien 2/2019, Rn. 36 f.). Eine pauschale Legitimation sämtlicher Datenverarbeitungen über eine umfassende Leistungsbeschreibung in den Nutzungsbedingungen scheidet damit aus. Verarbeitungen, die allein dem umfassenderen Geschäftsmodell des Verantwortlichen dienen, lassen sich nicht auf lit. b stützen.

4.6 Neben- und Folgeleistungen

Lit. b erfasst nicht nur die Hauptleistungspflicht, sondern auch Nebentätigkeiten, die im Rahmen einer normalen Vertragsbeziehung vernünftigerweise vorhersehbar und notwendig sind, etwa Zahlungsabwicklung, Mahnungen bei Zahlungsverzug oder die Korrektur von Fehlern und Verzögerungen bei der Leistungserbringung (EDSA, Leitlinien 2/2019, Rn. 38, Beispiel 3). Auch die Speicherung bestimmter Daten für die Dauer einer vertraglichen Garantiefrist kann von lit. b gedeckt sein.

4.7 Neue Technologien und Dienständerungen

Wird im Laufe der Vertragslaufzeit eine neue Technologie eingeführt oder der Dienst anderweitig weiterentwickelt, ist die Erforderlichkeit für jede neue oder veränderte Verarbeitung neu zu prüfen. Eine einmal bejahte Erforderlichkeit gilt nicht fort, wenn sich Verarbeitungszweck oder Leistung verändern.

5 Kündigung und Ende des Vertrags

5.1 Grundsatz: Zweckfortfall führt zur Einstellung

Endet der Vertrag vollständig, entfällt in der Regel der Zweck der auf lit. b gestützten Verarbeitung. Die Verarbeitung ist einzustellen; gespeicherte Daten sind nach Art. 17 Abs. 1 lit. a DSGVO zu löschen. Schon bei Beginn der Verarbeitung sollte der Verantwortliche festlegen, was beim Vertragsende passiert, und die Speicherdauer transparent kommunizieren.

5.2 Kein „Wechsel" der Rechtsgrundlage

Ein nachträglicher Wechsel auf eine andere Rechtsgrundlage (z. B. lit. f), um die Verarbeitung nach Vertragsende fortzuführen, ist grundsätzlich unzulässig. Die betroffene Person hat ihre Daten im Vertrauen auf den vertraglichen Kontext bereitgestellt; ein nachträgliches Umetikettieren verstößt gegen den Grundsatz von Treu und Glauben nach Art. 5 Abs. 1 lit. a DSGVO (EDSA, Leitlinien 2/2019, Rn. 41).

5.3 Fortbestehende Verarbeitungen auf anderer Grundlage

Rückabwicklungsleistungen wie Rücksendungen oder Rückzahlungen sind selbst vernünftig vorhersehbare Vertragsfolgen und können weiterhin auf lit. b gestützt werden. Darüber hinaus bleiben Verarbeitungen zulässig, die von Anfang an auf einer eigenen Rechtsgrundlage stehen und transparent kommuniziert wurden, etwa die Aufbewahrung nach handels- oder steuerrechtlichen Pflichten (lit. c iVm § 257 HGB, § 147 AO) oder die Verteidigung gegen Rechtsansprüche (lit. f iVm Art. 17 Abs. 3 lit. e DSGVO). Solche Zwecke müssen vor Beginn der Verarbeitung festgelegt und den betroffenen Personen nach Art. 13, 14 DSGVO offengelegt werden.

6 Typische Verarbeitungen im Online-Kontext, die lit. b nicht trägt

Der EDSA hat in den Leitlinien 2/2019 vier Fallgruppen identifiziert, in denen lit. b regelmäßig keine tragfähige Rechtsgrundlage ist. Die Grenzziehung hat der EuGH in der Meta-Entscheidung bestätigt.

6.1 Dienstverbesserung und neue Funktionen

Die Auswertung des Nutzungsverhaltens zur Verbesserung eines bestehenden Dienstes oder zur Entwicklung neuer Funktionen kann sich in aller Regel nicht auf lit. b stützen. Der Dienst könnte auch ohne die Verarbeitung erbracht werden; die Vertragsklausel, die solche Auswertungen zulässt, ersetzt nicht die Erforderlichkeitsprüfung. Als Rechtsgrundlage kommen lit. a oder lit. f in Betracht (EDSA, Leitlinien 2/2019, Rn. 48 f.).

6.2 Betrugs- und Missbrauchsprävention

Auch Überwachung und Profiling zum Zweck der Betrugsprävention gehen typischerweise über das objektiv Erforderliche hinaus. Erforderliche Maßnahmen lassen sich aber regelmäßig auf lit. f stützen; besteht eine gesetzliche Pflicht (z. B. zur Geldwäscheprävention), ist lit. c einschlägig (EDSA, Leitlinien 2/2019, Rn. 50).

6.3 Verhaltensbasierte Online-Werbung

Verhaltensbasierte Werbung, Tracking und Profiling zur Werbeaussteuerung sind keine vertragscharakteristische Leistung, selbst wenn der Dienst werbefinanziert ist. Das absolute Widerspruchsrecht aus Art. 21 Abs. 2 DSGVO würde leerlaufen, wenn sich der Anbieter auf lit. b stützen könnte. Zudem verlangt § 25 Abs. 1 TDDDG für das Speichern oder Auslesen von Informationen auf dem Endgerät (Cookies, Trackingpixel, Fingerprinting) eine Einwilligung. Lookalike- und zielgruppenorientiertes Audience-Matching zur Werbung für andere Personen scheitern ebenfalls bereits an der Erforderlichkeit (EDSA, Leitlinien 2/2019, Rn. 51 ff.).

6.4 Personalisierung von Inhalten

Die Personalisierung von Inhalten trägt lit. b nur, wenn sie integraler und von den Parteien erkennbar vorausgesetzter Bestandteil des Dienstes ist. Maßgeblich sind die Art des Dienstes, die Bewerbung gegenüber Nutzern und die Frage, ob der Dienst ohne Personalisierung überhaupt sinnvoll erbracht werden kann. Dient die Personalisierung nur der Nutzerbindung oder der Steigerung der Interaktivität, fehlt die objektive Erforderlichkeit; die Verarbeitung ist dann auf eine andere Rechtsgrundlage zu stützen (EDSA, Leitlinien 2/2019, Rn. 57).

Die Grenze zwischen „integralem Bestandteil" und „nur bindungsfördernd" ist in der Praxis schmal. Wer Personalisierung auf lit. b stützen will, sollte sie so konkret im Dienstangebot verankern und bewerben, dass die durchschnittliche betroffene Person sie als Kernfunktion erkennt, andernfalls bleibt nur lit. a oder lit. f mit sauberer Interessenabwägung.

7 Fallgruppen

7.1 Bankgeschäfte

Die Verarbeitung von Identifikations-, Konto- und Transaktionsdaten ist grundsätzlich erforderlich zur Abwicklung des Kontovertrags und zur Durchführung von Zahlungsaufträgen. Besondere gesetzliche Anforderungen, etwa aus dem Geldwäscherecht, führen daneben auf lit. c.

7.2 Beschäftigungsverhältnisse

Die Verarbeitung personenbezogener Daten im Beschäftigungsverhältnis ist weitgehend über Art. 88 DSGVO iVm § 26 BDSG geregelt. Soweit es um Daten geht, die für die Begründung, Durchführung oder Beendigung des Arbeitsvertrags erforderlich sind, stützt sich die Verarbeitung auch auf lit. b.

7.3 Inkasso und Factoring

Bei Forderungskauf und Inkasso bestehen die Hauptstreitpunkte bei der Weitergabe von Schuldnerdaten. Inkassotätigkeit zur Durchsetzung einer Forderung gegenüber dem Schuldner kann sich auf lit. b stützen, soweit die Forderung aus einem Vertrag mit dem Schuldner selbst stammt; für die Übermittlung an Dritte (etwa Auskunfteien) bedarf es zusätzlicher Rechtsgrundlagen, regelmäßig lit. f.

7.4 Marketing und Kundenbindung

Werbung und Kundenbindung sind keine vertragscharakteristische Leistung. Bestandskundenwerbung kann sich auf lit. f stützen, wenn die Voraussetzungen von Art. 21 DSGVO und den wettbewerbsrechtlichen Vorgaben (insbesondere § 7 UWG) gewahrt bleiben. Rabatt- und Bonusprogramme sind wegen ihres Kern-Leistungsversprechens grundsätzlich über lit. b zu legitimieren, soweit sie mit dem Teilnahmevertrag in Einklang stehen.

7.5 Medizinische Behandlung

Der Behandlungsvertrag (§§ 630a ff. BGB) trägt die Verarbeitung von Gesundheitsdaten, soweit sie zur Behandlung erforderlich ist. Wegen Art. 9 DSGVO ist daneben Art. 9 Abs. 2 lit. h DSGVO iVm den berufsrechtlichen Schweigepflichten einschlägig.

7.6 Mietverhältnisse

Die Verarbeitung von Mieterdaten zur Durchführung des Mietvertrages (Abrechnung, Nebenkostenabrechnung, Instandhaltung) ist regelmäßig erforderlich. Darüber hinausgehende Verarbeitungen, etwa Videoüberwachung im Mehrfamilienhaus, unterliegen der Interessenabwägung nach lit. f (EuGH, Urt. v. 11.12.2019, C-708/18, Asociaţia de Proprietari, Rn. 40 ff.).

7.7 Online-Dienste

Bei Online-Diensten ist besonders sorgfältig zu prüfen, welche Verarbeitungen unmittelbar zum vertraglich geschuldeten Dienst gehören. Personalisierung, verhaltensbasierte Werbung oder die dienstübergreifende Verknüpfung von Nutzerdaten sind nach der Meta-Rechtsprechung nicht auf lit. b zu stützen (EuGH, Urt. v. 04.07.2023, C-252/21, Meta Platforms/Bundeskartellamt, Rn. 102). Der Umfang zulässiger Verarbeitung ist für jede angebotene Teilleistung gesondert zu beurteilen.

7.8 Versandhandel

Im Versandhandel ist die Erhebung der Lieferadresse, die Kommunikation über den Versand sowie die Abwicklung von Rückgaben und Gewährleistung von lit. b gedeckt. Wählt die betroffene Person stattdessen eine Abholstelle, ist die Verarbeitung der Wohnanschrift nicht mehr erforderlich und bedarf einer anderen Rechtsgrundlage (EDSA, Leitlinien 2/2019, Beispiel 1). Scoring und Bonitätsprüfungen bedürfen einer eigenständigen Rechtsgrundlage; regelmäßig kommt nur lit. f mit einer Interessenabwägung in Betracht.

7.9 Versicherungen

Die Verarbeitung zur Abwicklung von Versicherungsverträgen (Prämienberechnung, Schadensregulierung) ist von lit. b gedeckt. Für die Verarbeitung von Gesundheitsdaten und für die Prüfung auf Versicherungsmissbrauch sind zusätzliche Rechtsgrundlagen (Art. 9 Abs. 2 lit. h DSGVO, lit. f) zu prüfen.

Für viele Verarbeitungen im Online-Kontext bietet lit. b seit der Meta-Entscheidung des EuGH wesentlich weniger Raum als früher. Wer sich auf die Vorschrift stützen will, muss konkret darlegen, weshalb die Verarbeitung für die geschuldete Hauptleistung objektiv unerlässlich ist. Sobald die Verarbeitung nur dem wirtschaftlichen Interesse des Anbieters dient, bleiben nur die Einwilligung oder die Interessenabwägung nach lit. f.

Rechtsgrundlagen (Art. 6 DSGVO)

Systematik und Überblick.

Einwilligung

Art. 6 Abs. 1 lit. a DSGVO.

Berechtigte Interessen

Art. 6 Abs. 1 lit. f DSGVO.

EDSA-Leitlinien 2/2019

EDPB-Leitlinien zu Art. 6 Abs. 1 lit. b DSGVO im Online-Kontext.

Über den Autor

Über den Autor

Dieser Beitrag wurde von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München, verfasst.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland (2024/25) gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.

Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)

Einwilligung als Rechtsgrundlage der Verarbeitung: Bedeutung, Wirksamkeitsvoraussetzungen, Verhältnis zu den gesetzlichen Erlaubnistatbeständen und zu vertraglichen Zustimmungserklärungen.

Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO)

Rechtliche Verpflichtung als Rechtsgrundlage: persönliche Inanspruchnahme des Verantwortlichen, Anforderungen an die unions- oder mitgliedstaatliche Rechtsgrundlage nach Art. 6 Abs. 3 DSGVO und Anwendungsbeispiele.

Auf dieser Seite

1 Überblick1.1 Rechtsfolge und Anwendungsbereich1.2 Voraussetzungen im Überblick1.3 Abgrenzung zu Einwilligung und Nutzungsbedingungen1.4 Keine Grundlage für besondere Kategorien (Art. 9 DSGVO)1.5 Einbettung in die Grundsätze nach Art. 5 DSGVO2 Vertrag als Anknüpfungspunkt2.1 Wirksamer Vertrag als Grundlage2.2 Zivilrechtliche Verträge2.3 Vertragsähnliche Schuldverhältnisse2.4 Tarifverträge und Betriebsvereinbarungen2.5 Nichtige Verträge2.6 Daten Dritter3 Vorvertragliche Maßnahmen3.1 Anfrage der betroffenen Person als Tatbestandsvoraussetzung3.2 Typische Konstellationen3.3 Abgrenzung zu werblichen Maßnahmen3.4 Abgrenzung zu gesetzlichen Pflichten4 Kriterium der Erforderlichkeit4.1 Unionsrechtlicher Begriff4.2 „Objektiv unerlässlich", nicht nur „nützlich"4.3 Prüfungsschritte4.4 Perspektive beider Seiten4.5 Bündelung mehrerer Dienste4.6 Neben- und Folgeleistungen4.7 Neue Technologien und Dienständerungen5 Kündigung und Ende des Vertrags5.1 Grundsatz: Zweckfortfall führt zur Einstellung5.2 Kein „Wechsel" der Rechtsgrundlage5.3 Fortbestehende Verarbeitungen auf anderer Grundlage6 Typische Verarbeitungen im Online-Kontext, die lit. b nicht trägt6.1 Dienstverbesserung und neue Funktionen6.2 Betrugs- und Missbrauchsprävention6.3 Verhaltensbasierte Online-Werbung6.4 Personalisierung von Inhalten7 Fallgruppen7.1 Bankgeschäfte7.2 Beschäftigungsverhältnisse7.3 Inkasso und Factoring7.4 Marketing und Kundenbindung7.5 Medizinische Behandlung7.6 Mietverhältnisse7.7 Online-Dienste7.8 Versandhandel7.9 Versicherungen